股票代码:688225
打开微信“扫一扫”,开启安全数字世界之旅
截图或长按保存至相册,使用微信扫一扫
首页 > 安全通告
安全通告
招聘有“陷阱”!FakeWord木马病毒伪装简历文档,点击要小心
发布时间 :2021年12月02日
分享:
事件描述
近日,威尼斯432888cam捕获了一款仿冒Word文档的木马病毒FakeWord,该病毒将自身放置在具有系统以及隐藏属性的文件夹中,伪装成Word文档的快捷方式,利用社会工程学诱导用户启动自身。自身运行后会释放并打开正常的“简历”Word文档来迷惑用户,在打开“简历”文档的同时,其会继续释放并运行第二阶段木马。第二阶段木马运行后会解密出恶意Dll,并将Dll注入到正常程序中,然后调用Dll中的导出函数在被注入的程序中创建远程线程。最终,在被注入的进程中运行CS Beacon。目前威尼斯432888cam最新病毒码版本和DDAN沙盒平台已支持检测!
攻击流程
威尼斯432888cam产品解决方案
√ 威尼斯432888cam病毒码版本17.193.60,云病毒码版本17.193.71,全球码版本17.193.00已经可以检测,请用户及时升级病毒码版本。
√ 威尼斯432888camDDAN沙盒平台已经可以检测。
病毒详细分析
恶意快捷方式
Target:C:\Windows\explorer.exe ".__MACOSX\XXX-前端开发.exe"
该病毒将自身放置在具有系统以及隐藏属性的文件夹中:
XXX-前端开发.exe分析
运行后释放正常Word文档:
打开Word文档后,释放第二阶段木马:
运行第二阶段木马:
二阶段木马resume.exe分析
该木马具有反调试功能:
其运行后会解密出恶意Beacon Dll:
接下来,该样本进行反射式Dll注入:
通过Virus total威尼斯432888cam可以查看该恶意Dll检测信息:
该样本外联如下地址:
5qpk7dy70m93c[.]cfc-execute[.]bj[.]baidubce[.]com
安全建议
√ 打开系统自动更新,并检测更新进行安装;
√ 不要点击来源不明的邮件以及附件;
√ 不要点击来源不明的邮件中包含的链接;
√ 请到正规网站或者应用商店下载程序;
√ 采用高强度的密码,避免使用弱口令密码,并定期更换密码;
√ 尽量关闭不必要的端口;
√ 尽量关闭不必要的网络共享;
IOC
分享到微信
X